问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
记一次实战中信息收集溯源案例分享
渗透测试
安全管理
在某次值守中,发现了一个攻击IP ,通过社工信息收集等思路与技巧,结合地图定位与各个渠道信息检索,逐步深入,直到溯源到攻击IP所属人的完整信息,内容详细完整值得一读。
在某次值守中,发现了一个攻击IP 118.xxx.xx.205。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7a85f5abd2196eedc6270157e315add6010ba4b7.png) 上微步情报社区查询后发现为阿里云机器。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-a21bc13016618aece528f079415e9df1fbaae09f.png) 我们可以通过微步和鹰图等平台反查到该IP绑定的对应域名,发现域名中有着ICP备案人姓名。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-4489b77998b420b9f58f431a421791c49be80733.png) ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-cc24a9f94e1ef68f08aade5709595557396746d2.png) 随后通过攻击者姓名,在工信部ICP信息备案系统中对攻击者姓名进行反查,查询该姓名备案的更多域名信息,方便我们找到切入点,果不其然发现了不少备案的域名信息。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-e7293f6e73999e1addf7c21eee1f6f5c33255e69.png) 随后逐个访问查看网站进行进一步信息收集,在其中发现了该攻击者的个人博客域名www.xxxx.com ,获取到了一些基础信息,博客中链接了攻击者的CSDN页面和github主页,github头像为攻击者的真实照片。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-7757d76538a5ea1c586516119673020248f31201.png) ```php 博客 ``` ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-63ac1dca25ddea5fc157763f331ccc2e82d2b39f.png) ```php CSDN ``` ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-bfd01756fee15bbdd858dda73462b3e6a07c8cff.png) ```php Github主页 ``` 同时,对Github每个项目中的有效信息进行检索收集,在Github记录里发现了攻击者的QQ邮箱,后通过深入溯源分析,认定该QQ邮箱绑定的QQ号为攻击者小号,无更多价值。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-2397892a372099a68b03619f34b3664caad12dea.png) 同时检索信息途中发现CSDN文章中标注了攻击者的今日头号账号:**xxxxx生活史**。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-1a1926f12f957c3e41116f8b89fae938b9c9eca5.png) 但时间久远,实际访问时发现该头条号已经无法访问,随后通过对此头条号昵称ID进行全网的模糊检索,想到可能存在微信视频号记录生活,也在微信中进行信息检索,果然发现了与此**ID相近**的微信视频号,该视频号名字为:**xxx记**,同时结合刚刚找到的Github主页头像照片信息确定该视频号归属于同一人。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-58e2c895caa7164a32ded6ec3f094722cc4f393b.png) 接着对攻击者微信视频号内视频进行逐个查看,收集有用线索,该视频号为攻击者分享日常生活所用,查看多个视频后,发现有一视频介绍了所居住小区的模糊线索,继续查看视频确定此小区为居住地,视频中透露出此人居住在**xxx路**的小区中,且对面有一地标性的明显特征,同时视频此人站在一条河上的小桥上,将这几个特征进行地图查找。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9fb683c0c1600b92f9401fa55ea47b2090500187.png) 通过地图检索,对视频所提及的地点进行排查,利用百度地图全景街道功能对某市xxx路周边的河流进行排查,缩小范围,随后沿着河流对小区进行逐一排查确认。逐一排查过后发现了此处位置最符合视频中的描述和画面 ```php 在此不放出该地点的地图 ``` 通过百度地图全景街道功能,与视频中画面进行比对,确定地点位于此处,与视频画面中的**塑胶跑道、空调外机、对面的小桥**等特征完全符合,同时倒带视频,查看视频拍摄者出小区时的视角方向,确定攻击者居住于某**xxxx小区**,且翻找攻击者视频号中的视频,拍摄者透露自己住在该小区的xx号楼,连接线索确定攻击者居住小区的单元楼号,至此,通过社工定位到了个人居住地址。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-944ab5a069caabb9fa61df980b50fea1d62da42f.png) ```php 视频画面 ``` ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-9c9313be153c2ef6f5dab3acf7eaea56ecb23e47.png) ```php 百度街景 ``` 但是发现Github的QQ号为小号,无更多信息,于是只好回头继续查找其他域名网站信息,在网站的页脚信息找到了攻击者另一QQ号码,该QQ号为攻击者大号,后通过该QQ号码收集到了攻击者手机号码等更多信息。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3ec4614c7524a55d64e3739743fd5a06d53377c2.png) 对其支付宝手机号码转账进行确认,校验真实姓名成功,确定手机号码为此人使用。同时使用该手机号码尝试添加微信好友,微信昵称与所在地区与昵称也都与该攻击者强关联,线索链闭环,至此信息溯源完整,溯源结束。 ![图片.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-3087097cbbdb8ce62b49510f72dd7ad0cf421594.png) 最后总结一下实战中常用的溯源信息收集思路: ![发现攻击IP.png](https://shs3.b.qianxin.com/attack_forum/2024/08/attach-000a736d4f0c7b53a97208f2434206f1a17803cf.png)
发表于 2024-08-15 10:10:48
阅读 ( 2336 )
分类:
应急响应
3 推荐
收藏
8 条评论
11111wqe
2024-08-16 16:26
第一步就很有可能出问题了。从你的截图可以看到末次域名解析在一年前,之后域名和ip之间很可能没有关系了。而阿里云的ip非常容易易手,在没有连续性的证据下,一年前的域名解析完全无法作为证据。很有可能是攻击队近期买的阿里云ip,而这与你后面溯源到的是个前端完全对应上了,这个人完全不是个安全行业的人员,你很可能开盒了一个无辜的人。
chenwuwu
回复
11111wqe
这是23年的案例,不是最近的
请先
登录
后评论
用户871317348
2024-08-18 02:05
谢谢博主的分享
请先
登录
后评论
online
2024-08-15 14:50
怎么看都不像搞安全的,像是搞前端的。IP域名反查时间能对应上吗?万一是过期的域名解析的记录。还有就是溯源的方向应该往攻击者的职业、公司吧....作者感觉方向有点偏
chenwuwu
回复
online
攻击者不一定只是攻击队,也有可能是个人攻击者和黑灰产,这是23年的案例,这个域名解析当时是生效的
请先
登录
后评论
asdfs
2024-08-16 17:29
没证明是搞安全的,无效
请先
登录
后评论
asdfs
2024-08-16 17:32
g
请先
登录
后评论
M0urn
2024-08-30 10:18
前面的思路好像出问题了,就算域名和IP解析对的上,你拿名字直接搜其他备案不会有重名问题么,他这个名字看起来相当大众,而且备案号地域很多,大概率是好多个人的备案信息,有可能溯歪了。能做域名备案的大概率也是互联网行业的人,所以才会出现这个做前端的备案。个人觉得后面的信息都是以名字为基础查出来的,而你后面查的这个名字和攻击者的绑定性存疑,所以有溯歪的可能,之前我就这么溯歪过一次,差点报警给人学生逮进去了。
请先
登录
后评论
请先
登录
后评论
chenwuwu
1 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!